Morten Lyhne Petersen
En ny gratis app visar exakt vilka tekniska smygsignaler dina iOS-appar plockar upp om dig.
Bakom appen står säkerhetsforskarna på Mysk, ett team som under flera år har granskat hur mobilappar samlar in data utan att fråga om lov. Deras nya verktyg Loupe ger användaren en guidad rundtur genom det fingeravtryck som varje iPhone lämnar ifrån sig så fort en app öppnas.
Loupe finns gratis i App Store och kräver iOS 16 eller nyare. Hela källkoden är publicerad på GitHub under MIT-licens, vilket innebär att vem som helst kan granska eller bygga vidare på verktyget.
Tre nivåer av insamling
Appen delar in den information som tredjepartsappar kan komma åt i tre tydliga kategorier. Den första kallas Passive och täcker det som är synligt för vilken app som helst utan att någon dialogruta dyker upp: språkinställningar, tidszon, skärm, batteri och liknande tekniska parametrar.
Den andra kategorin, Needs Permission, samlar de uppgifter som kräver att användaren först godkänner en iOS-prompt, exempelvis kontakter, foton, plats och kalendrar. Den tredje, Advanced, är där det blir intressant: här visar Loupe enligt CyberInsider mer sofistikerade tekniker som utnyttjar publika API:er på oväntade sätt, bland annat sondering av URL-scheman via Apples canOpenURL och kontroll av om en app har lämnat spår i iOS Keychain mellan ominstallationer.
Det Apples rapport inte fångar
Apples egen App Privacy Report visar vilka appar som har bett om åtkomst till exempelvis platsdata eller mikrofon. Den fångar däremot inte de tekniker som varken kräver en prompt eller registreras som en aktiv förfrågan. Det är där Loupe sätter strålkastaren.
Som IT-Connect skriver om principen bakom fingerprinting kan en kombination av till synes harmlösa signaler räcka för att skapa ett digitalt fingeravtryck och identifiera en användare över flera appar och webbplatser. Var och en för sig säger värdena lite, men tillsammans bildar de ett mönster som är svårt att skaka av sig.
canOpenURL är ett klassiskt exempel. Funktionen är tänkt att hjälpa en app att kontrollera om en annan app finns installerad, men kan användas till att kartlägga vilka tjänster en användare har på telefonen, från banker till dejtingappar.
Lokalt, öppet och AI-skrivet
Loupe är konstruerad så att allt stannar på enheten. Inget synkroniseras till Mysks servrar eller någon tredje part, och det finns varken konton eller analytics i appen, framgår av projektets officiella beskrivning.
En udda detalj är att Loupe enligt utvecklarna är skriven nästan helt med AI-verktyg. Källkoden är publicerad öppet, vilket innebär att intresserade utvecklare kan granska både implementeringen och slutsatserna själva.
För användare som vill testa själva räcker det att installera appen, öppna varje sektion i tur och ordning och se vilka värden iPhonen lämnar ifrån sig. Den som vill jämföra resultatet med vad enskilda appar faktiskt samlar in får ta hjälp av Apples App Privacy Report eller nätverkstrafik, men Loupe gör i alla fall den teoretiska ytan synlig för första gången.
